Escaneado de imágenes para vulnerabilidades

Descubra cómo explorar imágenes en un repositorio para detectar vulnerabilidades de seguridad con Container Registry.

No es raro que los paquetes del sistema operativo incluidos en las imágenes tengan vulnerabilidades. La gestión de estas vulnerabilidades le permite reforzar la estrategia de seguridad del sistema y responder rápidamente cuando se detecten nuevas vulnerabilidades.

Puede configurar Oracle Cloud Infrastructure Registry (también conocido como Container Registry) para explorar imágenes en un repositorio en busca de vulnerabilidades de seguridad publicadas en la base de datos de exposiciones y vulnerabilidades comunes (CVE) disponible públicamente.

Para activar la exploración de imágenes, agregue un escáner de imágenes a un repositorio. A partir de entonces, el escáner de imágenes escanea las imágenes transferidas al repositorio en busca de vulnerabilidades. Si el repositorio ya contiene imágenes, las cuatro imágenes transferidas más recientes se exploran inmediatamente para detectar vulnerabilidades.

Cuando se agregan nuevas vulnerabilidades a la base de datos de CVE, Container Registry vuelve a escanear automáticamente imágenes en los repositorios que tienen activada la exploración.

Para cada imagen escaneada, puede ver:

Resumen de cada exploración de la imagen durante los últimos 13 meses, que muestra el número de vulnerabilidades encontradas en cada exploración y un único nivel de riesgo general para cada exploración. Los resultados del escaneo de imágenes se conservan durante 13 meses para permitirle comparar los resultados del escaneo a lo largo del tiempo.
Resultados detallados de cada exploración de imagen, para ver una descripción de cada vulnerabilidad, junto con su nivel de riesgo, y (si está disponible) un enlace a la base de datos de CVE para obtener más información.

Puede desactivar la exploración de imágenes en un repositorio concreto eliminando el escáner de imágenes.

Para realizar la exploración de imágenes, Container Registry utiliza el servicio Oracle Cloud Infrastructure Vulnerability Scanning y la API de REST de Vulnerability Scanning. Para obtener más información sobre el servicio Vulnerability Scanning, consulte Visión general de Scanning y destinos de imágenes de contenedor.

Puede integrar la exploración de imágenes en el ciclo de vida de despliegue y desarrollo de software existente. Una vez creada una imagen, la herramienta de integración y despliegue continuos puede utilizar el comando docker push normal para transferir la imagen a un repositorio de Container Registry que tenga activada la exploración de imágenes. Su herramienta de CI/CD puede obtener los resultados del análisis de imagen mediante la API de REST de Vulnerability Scanning. Basándose en los resultados de la exploración de imágenes, la herramienta de integración y entrega continuas puede determinar si desea mover la imagen a la siguiente etapa del ciclo de vida.

Política de IAM necesaria para la exploración de imágenes para vulnerabilidades

Si activa los repositorios para la exploración de imágenes, debe otorgar al servicio Vulnerability Scanning permiso para extraer imágenes de Container Registry.

Para otorgar este permiso para todas las imágenes de todo el arrendamiento:

allow service vulnerability-scanning-service to read repos in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy

Para otorgar este permiso para todas las imágenes de un compartimento específico:

allow service vulnerability-scanning-service to read repos in compartment <compartment-name>
allow service vulnerability-scanning-service to read compartments in compartment <compartment-name>

Uso de la consola para activar y desactivar la exploración de imágenes

Cuando se crea un nuevo repositorio, la exploración de imágenes está desactivada por defecto. Puede utilizar la consola para activar la exploración de imágenes de un repositorio creando un nuevo escáner de imágenes. Si la exploración de imágenes ya está activada, puede utilizar la consola para desactivarla.

Para activar la exploración de imágenes para un repositorio:

En la página de lista Container Registry, seleccione el repositorio con el que desea trabajar en la lista Repositorios e imágenes. Si necesita ayuda para buscar la página de lista o el repositorio, consulte Listado de repositorios.

Se abre la sección de detalles del repositorio.
Seleccione Agregar escáner y acepte la configuración por defecto (normalmente suficiente) o especifique:
- Nombre de destino: opcionalmente, un nombre para el nuevo escáner de imágenes.
- Crear en compartimento: compartimento en el que se va a crear el explorador de imágenes. El compartimento al que pertenece el repositorio está seleccionado por defecto, pero puede seleccionar un compartimento alternativo.
- Description (Descripción): opcionalmente, una descripción del escáner.
Seleccione la configuración de exploración que desea utilizar.

Una configuración de exploración identifica las imágenes que se van a explorar, designando los compartimentos a los que pertenecen las imágenes. Normalmente, seleccionará una configuración de exploración existente o creará una nueva configuración de exploración que designe el compartimento al que pertenece el propio repositorio.
- Crear nueva configuración de exploración: explora imágenes que pertenecen al compartimento al que pertenece el repositorio en sí, creando una nueva configuración de exploración. Acepte los valores por defecto (normalmente suficientes) o, opcionalmente, introduzca un nombre para la nueva configuración de exploración y seleccione el compartimento en el que desea crear la nueva configuración de exploración. Se explorarán todas las imágenes del repositorio.
- Seleccionar configuración de exploración existente: escanee imágenes que pertenezcan a los compartimentos especificados en una configuración de exploración existente. Por defecto, puede ver y seleccionar configuraciones de exploración que pertenezcan al mismo compartimento que el repositorio.
  
  Seleccione Cambiar compartimento para ver y seleccionar configuraciones de exploración que pertenezcan a otros compartimentos. Se explorarán todas las imágenes del repositorio, siempre que el repositorio pertenezca a uno de los compartimentos designados en la configuración de exploración existente que seleccione.
Seleccione Crear para crear el nuevo escáner de imágenes con la configuración de exploración especificada.

A partir de ahora, el escáner de imágenes analiza las vulnerabilidades de cualquier imagen enviada al repositorio. Si el repositorio ya contiene imágenes, las cuatro imágenes transferidas más recientes se exploran inmediatamente para detectar vulnerabilidades.

Para desactivar la exploración de imágenes para un repositorio:

En la página de lista Container Registry, seleccione el repositorio con el que desea trabajar en la lista Repositorios e imágenes. Si necesita ayuda para buscar la página de lista o el repositorio, consulte Listado de repositorios.

Se abre la sección de detalles del repositorio.
Seleccione Eliminar escáner.

Uso de la consola para ver los resultados de las exploraciones de imágenes

Para ver los resultados de las exploraciones de imágenes:

En la página de lista Container Registry, seleccione el repositorio con el que desea trabajar en la lista Repositorios e imágenes. Si necesita ayuda para buscar la página de lista o el repositorio, consulte Listado de repositorios.

Se abre la sección de detalles del repositorio.
Para ver las vulnerabilidades detectadas en una imagen concreta del repositorio:
1. Seleccione el repositorio en la lista Repositorios e imágenes por segunda vez.
  Las imágenes del repositorio, incluidos sus identificadores de versión, se muestran en el repositorio en la lista Repositorios e imágenes.
2. En la lista, seleccione la imagen.
Seleccione el separador Resultados de exploración para ver un resumen de cada exploración de la imagen durante los últimos 13 meses, que muestra:
- Nivel de riesgo: nivel de riesgo planteado por la imagen, derivado de la agregación de los niveles de riesgo de vulnerabilidades individuales encontradas en la exploración en un único nivel de riesgo general.
- Problemas encontrados: número de vulnerabilidades encontradas en la exploración.
- Exploración iniciada: y Exploración finalizada: cuando se ejecutó la exploración.
(Opcional) Para ver más información sobre las vulnerabilidades encontradas en una exploración concreta, seleccione Ver detalles en el menú Acción junto a la exploración en el separador Resultados de exploración para abrir el cuadro de diálogo Detalles de exploración que muestra:
- Problema: nombre proporcionado a la vulnerabilidad en la base de datos de CVE. Seleccione el enlace para obtener más información al respecto.
- Nivel de riesgo: nivel de gravedad de la vulnerabilidad. Crítico es el nivel más alto (para los problemas más graves que debe ser su prioridad más alta para resolver), seguido de Alto, Medio, Bajo y, por último, Menor (lo que indica los problemas menos graves que aún debe resolver, pero que pueden ser su prioridad más baja).
- Descripción: Descripción de la vulnerabilidad.
Seleccione Cerrar.

Uso de la CLI

Utilice los comandos de la CLI de Vulnerability Scanning para analizar imágenes en busca de vulnerabilidades (consulte Destinos de imágenes de contenedor).

Para obtener una lista completa de indicadores y opciones de variables para los comandos de la CLI, consulte la Referencia de la línea de comandos.

Uso de la API

Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

Utilice la API de exploración de vulnerabilidades para analizar imágenes en busca de vulnerabilidades (consulte Destinos de imágenes de contenedor).